📝

AWS マネジメントコンソールへのサインイン後にアカウント ID を表示しないようにする方法

2022/09/19に公開約3,500字

今回は、AWS マネジメントコンソールへのサインイン後にアカウント ID を表示しないようにする方法を紹介します。

結論

  1. エイリアスを利用する

https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/console_account-alias.html
  1. AWS Extend Switch Roles を利用する

https://chrome.google.com/webstore/detail/aws-extend-switch-roles/jpmkfafbacpgapdghgdpembnojdlgkdl

背景

AWS マネジメントコンソールへサインインすると、右上に「ユーザー名 + アカウント ID」という形式で、サインインしたユーザー名とアカウント ID が表示されます。
しかし、コンソールを画面共有する際に、第三者にはアカウント ID を見せたくない場合があると思います。

実際に以下の AWS re:Post でも同様の質問がありました。

https://repost.aws/questions/QU7-sgFQPRSBWAVh-AQIJ-Nw/hide-account-number-from-top-right-of-the-screen#AN4aXgljRQRRi7mDAXJr4rzw

上記のようなケースが考えられると思いますが、アカウント ID を表示しないようにする方法の記事が以外にも見つからなかったので、今回紹介することにしました。

アカウント ID は機密情報なのか

多くのサイトではスクリーンショットでアカウント ID をマスクしています。
また、AWS 公式のハンズオンなどの動画でも、アカウント ID をマスクしていることがあります。

私自身もアカウント ID は機密情報であるという認識なので、本サイトでの投稿でもマスクしていますが、日本語版の AWS 公式ドキュメントには、「アカウント ID は機密情報でない」ことが明記されています。

https://docs.aws.amazon.com/ja_jp/general/latest/gr/acct-identifiers.html

アカウント ID は機密情報とは見なされません。

一方、英語版の AWS 公式ドキュメントにはアカウント ID が機密情報であるということが明記されていません。

https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html

通常、AWS 公式ドキュメントでは英語版が最新版であるという認識なので、現状でアカウント ID が機密情報であるかどうかは不明な状態だと思っています。

アカウント ID の漏洩について調べてみると、アカウント ID が分かるだけでも攻撃者のターゲットになる可能性もあるという記事もありました。

https://unit42.paloaltonetworks.jp/iamfinder/

そのため、現時点で個人的にはアカウント ID は容易に公開してよい情報ではないと思っています。

前置きが長くなりましたが、冒頭で紹介した方法について以下に記載していきます。

1. エイリアスを利用する

https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/console_account-alias.html

こちらの方法は、AWS 公式ドキュメントに記載されている方法です。
エイリアスについては、以下のように記載されています。

サインインページの URL に AWS アカウント ID の代わりに自社名 (または他のわかりやすい識別子) を含める場合は、アカウントのエイリアスを作成できます。

中略

AWS アカウント ID の AWS アカウントエイリアスを作成すると、サインインページの URL は次の例のようになります。

https://Your_Account_Alias.signin.aws.amazon.com/console/

12 桁のアカウント ID を分かりやすく識別するための任意の名前がエイリアスといったところです。

実際の表示について確認してみます。
まずはエイリアスを使用せず、アカウント ID を使用してサインインした場合です。

上記の通り、アカウント ID でサインインした場合には、コンソールの右上にユーザー名とアカウント ID が表示されます。

続いて、エイリアスでサインインした場合です。

エイリアスでサインインすると、アカウント ID の部分がエイリアスに変わります。

スイッチロール時の挙動

  • エイリアスを設定したアカウントへのスイッチロールでは、「ロール名 @ エイリアス名」になる
  • エイリアスを設定していないアカウントへのスイッチロールでは、「ロール名 @ スイッチ先のアカウント ID」になる

AWS Extend Switch Roles を利用する

https://chrome.google.com/webstore/detail/aws-extend-switch-roles/jpmkfafbacpgapdghgdpembnojdlgkdl

こちらは Google Chrome の拡張機能を利用する方法です。
詳しい仕様については、上記リンクをご確認ください。

AWS Extend Switch Roles では、以下のように AWS CLI と同じような設定を記載します。

[Master]
aws_account_id = 123456789012
role_name = Master_Role
color = 001eff

[Study]
aws_account_id = 210987654321
role_name = Study_Role
color = 00bfff

さらに、Setting の「Hide account id」にチェックを付けます。
これでコンソールの右上にはアカウント ID が表示されなくなります。

上記の設定後、拡張機能を利用してスイッチロールをします。

上記のように、設定のプロファイル名 ([Master] や [Study]) に記載した名前がコンソールに表示されます。
この方法であれば、スイッチロール先のアカウントでエイリアスの設定をする必要がない分、少し楽になるかもしれません。

ただし、Chrome の拡張機能なので、ブラウザが限定されてしまうという点についてはご注意ください。

まとめ

今回は、AWS マネジメントコンソールへのサインイン後にアカウント ID を表示しないようにする方法を紹介しました。

どなたかの参考になれば幸いです。

Discussion

ログインするとコメントできます